Crédit : Dreamstime
Le fournisseur de virtualisation et de cloud VMware a en fait révélé huit vulnérabilités dans 5 des ses éléments et a conseillé aux utilisateurs de Workspace ONE Gain Access To et de tous ses produits composés de composants VMware Identity Supervisor de corriger immédiatement.
Trois de ces vulnérabilités ont été jugées cruciales sur l’échelle CVSSv3, dont deux contiendrait la possibilité d’exécution de code à distance, tandis que la troisième permettrait à une mauvaise étoile de contourner les systèmes d’authentification des utilisateurs de VMware pour effectuer des opérations non autorisées.
Une vulnérabilité cruciale, CVE-2022-22954, se concentre sur le côté serveur injection de modèles dans Office ONE Gain Access To et Identity Manager comme approche possible pour exécuter du code à distance, et n’a besoin que d’un accès au réseau sur lequel les services s’exécutent.
Une autre vulnérabilité d’exécution de code à distance dans Office ONE Access, Identity Supervisor et vRealize L’automatisation, signalée à la fois comme CVE-2022-22957 et CVE-2022-22958, permettrait à une mauvaise étoile avec un accès administratif de contrôler ces systèmes via un URI de connectivité de base de données Java nuisible.
Le contournement de l’authentification de l’utilisateur, étiqueté CVE-2022-22955 et CVE-2022-22956, fonctionne en utilisant des points de terminaison exposés dans le cadre d’authentification de Work space ONE Access.
Selon Ian McShane, vice-président de la stratégie chez le fournisseur de cybersécurité Arctic Wolf, ces vulnérabilités sont certainement graves, et ont souligné le sérieux d’appliquer des correctifs aux failles de sécurité les plus importantes.
« Avec toute entreprise, la modification le contrôle doit être une pratique exemplaire », a-t-il déclaré. « Cependant [les défauts de sécurité cruciaux] nécessitent des modifications instantanées, et ce sont ceux qui doivent être éliminés sans filtrage. »
Yaron Tal, le créateur et CTO de Reposify, une start-up israélienne spécialisée dans Les évaluations des risques de sécurité basées sur l’IA ont indiqué que les vulnérabilités d’exécution de code à distance laissaient essentiellement les étoiles de risque « se répandre » dans les systèmes menacés, en volant des qualifications, des informations sensibles et en partageant des logiciels malveillants.
« Avec [l’exécution de code à distance], sans privilège le code externe peut s’exécuter à distance sur n’importe quel fabricant sensible du réseau », a-t-il déclaré.
« Les pirates sont délégués à des attaques de marionnettistes à partir d’un autre endroit avec un effet désastreux. Aucune grève n’épuise l’inquiétude : les données peuvent être perdues ou volées, les interactions transmises par proxy à un endroit distant, les informations de l’entreprise copiées sur des disques personnels ou la crédibilité de l’entreprise est endommagée par un matériel spécifique. Toutes sont des possibilités très réelles et authentiques. »
L’application immédiate de correctifs peut être difficile pour certaines entreprises, en particulier celles qui ont des accords de niveau de service et des exigences légales pour un niveau de disponibilité offert, car elles peut avoir besoin de redémarrer ou de redémarrer les systèmes concernés pour les correctifs, selon McShane.
« L’organisation de chacun a différents environnements et diverses exigences », a-t-il déclaré.
Tal a convenu que les correctifs étaient de importance immédiate, et a noté que cela est très susceptible d’être un inconvénient pour les clients de VMware.
« Nous ne connaissons pas le système de correctifs dans les informations, mais ce que nous pouvons affirmer avec certitude, c’est que les systèmes de gestion des accès sont nécessaires être sur 24/7, et spots ca ne pas être appliqué sans éteindre le système », a-t-il déclaré. « Les spots sont généralement appliqués à des moments précis (comme Noël, Thanksgiving) lorsque l’environnement de l’espace de travail est calme pour réduire autant que possible les temps d’arrêt. »
VMware a attribué à Steven Seeley du Qihoo 360 Vulnerability Research Institute la découverte du défauts.
Toute l’actualité en temps réel, est sur L’Entrepreneur
